gh0st远控软件采用驱动级RESSDT过主动.doc

gh0st远控软件采用驱动级RESSDT过主动 ? gh0st远控软件采用驱动级RESSDT过主动2010-05-30 16：45，svchost参数启动，替换系统服务的方式工作的，工作方式较为先进，美中不足的部分是没有进行驱动级或用户级隐藏，当然这部分可以添加进去。编码利用了VC的编程环境。一、环境配置编译环境一定要配置好：DDK+SDK+VC6，DDK用来编译sys文件的，SDK+VC6是用来编译工程的，配置部分比较简单，网上有很多资料，这里不再详述，有兴趣的朋友也可以查看DDK和SDK的相关帮助。二、特征码定位简述杀毒软件查杀木马的原理基本是根据特征查杀的，被查杀的部分我们称之为特征码，所以我们可以利用特征码定位工具MyCLL定位出病毒的特征码位置，定位工具原理是将被扫描木马分块，利用分段填充的方式，匹配杀软的特征值，找到杀软查杀病毒的位置。定位出特征码，如何反向找到源码中的对应位置呢?请看下面分析，三、二进制文件与源码定位之map文件利用map文件是二进制和源码之间对应的一个映射文件。我们假设根据第三步我们定位出了病毒的特征码：病毒名称特征码位置内存地址svchost.dll 000038 AA_100044 AA svchost.dll 00005F98_一步设置VC编译环境生成Map文件。在VC中，点击菜单Project-Settings选项页(或按下Alt+F7)，选择C/C++选项卡，并在最下面的Project Options里面输入：/Zd，然后要点击Link选项卡，选中Generate mapfile复选框，并在最下面的Project Options里面输入：/mapinfo：lines，表示生成MAP文件时，加入行信息。设置完成。第二步编译VC工程，设置活动工程编译即可，这个不用说明。这个步骤完成后，在release(或debug)目录，多了一个.map文件(比如svchost.map)。第三步打开map文件(用UE或文本编辑器打开都行)，形式如下：(begin)Timestamp is 488fcef2(Wed Jul 30 10：16：18 2008)Preferred load address is--1--(为方便说明，wrw添加)Start Length Name Class 000100010a50H.text CODE 0001：00010a50H.text$x CODE 0002000004 c8H.idata DATA.000300000004 H.CRT$XIZ DATA 000300001a50H.data DATA 0003：00001a70H.bss DATA 0004000000 a8H.rsrc DATA 0004：000000 b0 00000cf0H.rsrc DATA--2---(为方便说明，wrw添加)Address Publics by Value Rva+Base Lib：Object 00010CAudio@QAE@XZfAudio.obj 0001：000000 d0?_GCAudio@UAEPAXI@Z 100010 d0 fi Audio.obj 0001：000000 d0?_ECAudio@UAEPAXI@Z 100010 d0 fi Audio.obj 0001：000000 f0?1CAudio@UAE@XZ 100010 f0 fAudio.obj 0001：000001 e0?getRecordBuffer@CAudio@QAEPAEPAK@Z 100011 e0 fAudio.obj 0001playBuffer@CAudio@QAE_NPAEK@ZfAudio.obj 0001：000002 c0?InitializeWaveIn@CAudio@AAE_NXZ 100012 c0 fAudio.obj.0001SendToken@CFileManager@AAEHE@ZfFileManager.obj 0001UploadToRemote@CFileManager@AAE_NPAE@ZfFileManager.obj 0001FixedUploadList@CFileManager@AAE_NPBD@ZfFileManager.obj 0001：0